Erfolgsfaktoren Compliance Management

Die für ein wirksames Compliance Management zielführenden Maßnahmen richten sich nach den jeweiligen Besonderheiten des betroffenen Unternehmens und insbesondere nach seinem individuellen Compliance-Risikoprofil.

Die Unternehmensleiter haben bei der Ausgestaltung des Compliance Managements ein Handlungsermessen nach den Grundsätzen der sog. „Business Judgement Rule“ hinsichtlich der Einführung geeigneter Strukturen, Prozesse und Systeme.

Das Auswahlermessen umfasst etwa die Frage, ob die Geschäftsleitung die Compliance-Pflicht in vollem Umfang selbst erfüllt, oder ob sie bestimmte Compliance-Aufgaben an andere Unternehmenseinheiten oder Externe delegiert. In jedem Fall sind einerseits die Zulässigkeit der Delegation sowie andererseits deren Grenzen zu beachten.

Die Compliance-Maßnahmen stehen unter dem Vorbehalt der Erforderlichkeit und der Zumutbarkeit, der je nach den Besonderheiten des Unternehmens variiert.

Während sich ab einer bestimmten Größe die Einrichtung einer Compliance-Organisation empfiehlt, können die Compliance-Aufgaben in kleineren Unternehmen auch durch die Geschäftsleiter (ggf. in Kooperation mit Externen) selbst wahrgenommen werden. Zielführend ist in jedem Fall ein strategischer Ansatz in Abstimmung mit der jeweiligen Unternehmensstrategie.

Das Ziel jeder Unternehmensleitung ist es, passende und auf das Unternehmen zugeschnittene Rahmenbedingungen für ein regelkonformes und integres Verhalten der Mitarbeiter zu schaffen – dieser Organisationsauftrag gehört zur Leitungsverantwortung. Dafür ist die systematische Erkennung und Analyse des individuellen Compliance-Risikoprofils notwendig, ebenso die Entwicklung und Stärkung einer Compliance-Kultur und ein Konzept zur Kontrolle der relevanten Compliance-Risiken. Ein zentraler Aspekt der Compliance-Strategie ist auch die klare Definition von Zuständigkeiten und Verantwortungsbereichen für Compliance-Maßnahmen. Die Compliance-Strategie muss alle wesentlichen konzeptionellen Fragen und Strukturentscheidungen berücksichtigen – diese liegen in der Regel im Verantwortungsbereich der Unternehmensleitung als Gesamtorgan.

Bezogen auf das Ziel einer systematischen Prävention von Regelverletzungen und Fehlverhalten geht die Organisationsaufgabe der Compliance über die reine Einführung von Regeln und Richtlinien hinaus. Entscheidend ist, ob die Compliance-Maßnahmen tatsächlich wirksam sind.

Unter Effizienz versteht man die Bewertung des Verhältnisses zwischen erbrachter Leistung und eingesetzten Ressourcen, während Effektivität die Bewertung der Zielerreichung darstellt, also wie gut die geplanten Ziele tatsächlich erreicht werden. Diese Bewertung, ob die gesetzten Ziele erreichbar sind, ist auch für das Compliance Management entscheidend, da es darauf abzielt, Regelverletzungen bestmöglich zu vermeiden.

Für eine positive Berücksichtigung von Compliance-Maßnahmen durch Gerichte und Behörden ist es entscheidend, dass die Compliance-Maßnahmen tatsächlich umgesetzt, konsequent angewendet und regelmäßig überarbeitet werden. Nur dann kann das Compliance Management seinen Hauptzweck, die bestmögliche Vermeidung von Rechtsverstößen, erfüllen und nicht nur als reine Fassade erscheinen. Ein effektives Compliance Management bringt auch weitere beabsichtigte Vorteile mit sich, wie den Schutz von Unternehmen, Geschäftsleitung und Mitarbeitern, den Erhalt der Unternehmensreputation, die rechtssichere Entwicklung und Gestaltung von Geschäftsmodellen sowie verbesserte Verteidigungsmöglichkeiten bei „Non-Compliance“.

Die Vielfalt unternehmerischer Aktivitäten führt zu unterschiedlichen Organisationsmodellen für das Compliance Management.

In kleineren und mittelständischen Unternehmen nimmt oft der Inhaber oder der Gesellschafter-Geschäftsführer die Compliance-Verantwortung selbst wahr, vorausgesetzt, diese Personen erkennen die Notwendigkeit von Compliance Management. Alternativ beauftragen die Verantwortlichen externe Dienstleister, wie Rechtsanwälte oder Wirtschaftsprüfer, mit Compliance-Aufgaben.

In größeren Unternehmen sind meistens Unternehmenseinheiten wie die Rechtsabteilung, das Risikomanagement oder die Interne Revision für Compliance-Aufgaben zuständig. In großen Unternehmen und Konzernen liegt die Verantwortung für bestimmte Compliance-Aufgaben oft bei einem zentralen „Chief Compliance Officer (CCO)“, der dann Aufgaben an weitere Compliance Officer in den Geschäftseinheiten weitergibt.

In größeren Unternehmen gibt es auch das Modell einer Matrix-Organisation. Hier koordiniert ein spezielles Gremium, wie ein „Compliance Committee“, die Compliance-Funktion. Diesem Gremium gehören Repräsentanten anderer Unternehmenseinheiten wie Rechtsabteilung, Revision, Finanzen, Personalabteilung und Fachbereiche an.

Abgesehen von speziellen gesetzlichen Organisationsanforderungen liegt die Gestaltung der organisatorischen Details im Ermessen der Geschäftsleiter. Wichtig ist immer die genaue Anpassung der Compliance-Maßnahmen an die individuelle Unternehmenssituation und die jeweilige Unternehmensstrategie.

Aufgrund des beschriebenen Zusammenhangs zwischen Compliance Management und Risikomanagement ist die Erarbeitung eines Konzepts zur systematischen Steuerung relevanter Rechts- und Compliance-Risiken ein zentrales Element der Compliance-Strategie. Die Compliance-Risikostrategie stellt die Grundlage für die Identifizierung, Bewertung und Überwachung der Compliance-Risiken sowie die Entwicklung geeigneter Maßnahmen dar. Sie ist als Teil der Leitungssorgfaltspflicht nicht übertragbar. Risiken einzugehen ist integraler Bestandteil jeder unternehmerischen Tätigkeit, und selbst ein umfassendes Compliance Management kann die Risiken der „Non-Compliance“ nicht vollständig eliminieren. Für ein wirksames Compliance Management ist es entscheidend, die Gefahren durch vorsätzliches oder fahrlässiges Fehlverhalten der Unternehmensangehörigen so weit wie möglich zu minimieren. Wie erwähnt, ist die Integration von Methoden und Verfahren des Risikomanagements nützlich, wobei die Besonderheiten der Compliance-Risiken immer berücksichtigt werden müssen. Die Details des Compliance-Risikomanagements basieren auf den spezifischen Eigenschaften des Unternehmens, wobei das individuelle „Compliance-Risikoprofil“ des Unternehmens den Ausgangspunkt bildet.

Rechts- und Compliance-Risiken ergeben sich oft aus dem rechtlichen Umfeld eines Unternehmens. Für die Identifikation relevanter Compliance-Risiken ist eine gründliche Analyse des jeweiligen Unternehmens sowie eine genaue Untersuchung des Umfelds, in dem es tätig ist, notwendig. Dies beinhaltet eine Erfassung der Vorgaben des rechtlichen Umfelds, also aller für das Unternehmen relevanten Normen und Rechtspflichten. Je nach Wettbewerbsumfeld, Branche und Geschäftsmodell können diese Vorgaben variieren. Dennoch gibt es viele Compliance-Risiken, die alle Unternehmen und Verbände betreffen. Hierzu zählen Risiken im Zusammenhang mit arbeitsrechtlichen, datenschutzrechtlichen und steuerrechtlichen Pflichten. Weitere spezifische Risiken können sich für viele Unternehmen aus dem Wettbewerbs- und Kartellrecht, dem Außenwirtschaftsrecht oder Antikorruptionsvorschriften ergeben. Abhängig von der Branchenzugehörigkeit, Größe und geografischen Präsenz können zusätzliche Risiken durch die Nichtbeachtung von internationalen oder ausländischen Rechtsvorschriften entstehen. Eine systematische Erfassung dieser Vorschriften in einem digitalen Verzeichnis zur Archivierung und Dokumentation ist ratsam. Die Analyse des Umfelds sollte auch besondere länder- und branchenspezifische Risiken berücksichtigen.

Die Analyse des Umfelds des Unternehmens verbindet sich mit einer gründlichen Untersuchung des individuellen Geschäftsmodells des Unternehmens und seiner Unternehmenseinheiten. Bestimmte Abteilungen wie Einkauf und Vertrieb sind besonders anfällig für „Non-Compliance“ durch Korruption oder Verstöße gegen das Wettbewerbsrecht.

Jede Abteilung und Unternehmensfunktion führt eine „Risiko-Inventur“ durch, in Zusammenarbeit der jeweiligen Leiter mit dem Compliance Officer, der Rechtsabteilung oder externen Rechtsberatern.

Die ermittelten Compliance-Risiken werden in einem weiteren Schritt analysiert und bewertet, wobei das potenzielle Schadensausmaß und die Eintrittswahrscheinlichkeit maßgebliche Kriterien sind. Ein wichtiger Unterschied zum allgemeinen Risikomanagement ist, dass es nicht nur um eine rechnerische Betrachtung geht, sondern vor allem um die Bewertung menschlichen Verhaltens im Hinblick auf mögliche Regelverstöße. Ein weiterer gravierender Unterschied ist, dass die Geschäftsleitung nicht aus Opportunitätserwägungen heraus Rechtsvorschriften missachten darf; auch sogenannte „nützliche Pflichtverletzungen“ sind regelmäßig Compliance-Verstößen zuzuordnen. Compliance-Maßnahmen sind unter dem Aspekt der Erforderlichkeit und Zumutbarkeit zu beurteilen. Daher ist es zulässig, dass sich die Unternehmensleitung in einem ersten Schritt auf die wichtigsten Risiken, wie Korruption oder Kartellrechtsverstöße, konzentriert. Im Hinblick auf die vielfältigen Rechts- und Compliance-Risiken sollte diese Schwerpunktsetzung jedoch nicht isoliert erfolgen, sondern Bestandteil eines ganzheitlichen Risikomanagements für das Unternehmen sein. Nach der Erfassung, Analyse und Steuerung der schwerwiegendsten Risiken sollten die sonstigen Compliance-Risiken berücksichtigt werden.

Nach der Analyse und Bewertung der Rechts- und Compliance-Risiken kommt die Konzeption von Maßnahmen der Risikosteuerung, die sich nach dem jeweiligen Risiko richten. Die Analyse kann zum Ergebnis haben, dass eine Risikovermeidungsmaßnahme erforderlich ist, sodass das Unternehmen sich aus einem bestimmten Markt vollständig zurückzieht oder einen neuen Markt nicht betritt. Andere, weniger radikale Risikosteuerungsmaßnahmen beziehen sich auf die Konzeption spezifischer Schulungen zur Risikovermeidung, wie zum Beispiel im Zusammenhang mit Vertriebsstrukturen. Ein zuvor erstelltes Rechtspflichten-Verzeichnis dient als Ausgangspunkt für spezielle Schulungsmaßnahmen, durch die die Unternehmensangehörigen hinsichtlich relevanter Rechts- und Compliance-Risiken in ihren Einheiten sensibilisiert und geschult werden.

Im Hinblick auf ein integriertes und effektives Integritäts- und Compliance Management ist bei Konzeption und Durchführung passender Risikosteuerungsmaßnahmen die aktive Einbeziehung von Führungskräften und Mitarbeitern der relevanten Fachabteilungen und Unternehmenseinheiten notwendig. Diese kennen das Risikoprofil ihrer Umgebung und können als „Process Owner“ ihrer Geschäftsabläufe wertvolle Hinweise zur Risikosteuerung geben. Durch die aktive Einbeziehung der Geschäftseinheiten steigt die Akzeptanz von Compliance Management, denn zur Vermeidung von Compliance-Risiken ist eine Compliance-Kultur notwendig, in der ein entsprechendes Risikoverhalten nicht toleriert wird.

Die Konzeption einer Compliance-Risikostrategie beinhaltet die Einführung eines entsprechenden Reportings oder die Integration dieser Berichte über Compliance-Risiken in die allgemeine Risikoberichterstattung, wenn diese im Unternehmen schon vorhanden ist.

Die ständige Veränderung des Umfelds für Unternehmen erfordert eine regelmäßige Überprüfung der Compliance-Maßnahmen und die Anpassung des Compliance-Risikomanagements an veränderte Umstände. Frequenz und Umfang der sogenannten „Compliance Audits“ richten sich nach den jeweiligen Besonderheiten des Unternehmens. Aus § 91 Abs. 2 AktG, § 317 Abs. 4 HGB für börsennotierte Aktiengesellschaften ergibt sich, dass eine Prüfung der Einhaltung und der Wirksamkeit des Compliance Managements mindestens einmal jährlich erfolgen muss.

Compliance-Verfahren sind identisch. Teilaspekte des Compliance Managements aktualisieren sich, sodass sie bei der jährlichen Prüfung durch den Wirtschaftsprüfer keine Beanstandungen hervorrufen. Bei kleineren Gesellschaften reicht eine Überprüfung in größeren Abständen, insbesondere wenn das Umfeld des Unternehmens keine größeren Änderungen erfährt und es in der Vergangenheit keine Fälle von „Non-Compliance“ im Unternehmen gab. Für alle Unternehmen ergeben sich jedoch besondere Anforderungen an ein Compliance-Audit aus einzelnen Rechtsgebieten. Zum Beispiel verlangt der Datenschutz eine Folgeabschätzung und ein spezielles Audit.

Die Compliance-Pflicht stellt eine besondere Ausprägung der Leitungssorgfaltspflicht der Geschäftsleiter dar.

Compliance ist „Chefsache“. Ein unveräußerlicher Kernbereich der Compliance-Pflicht bleibt immer bei der Geschäftsleitung. In diesem Rahmen stellt sie sicher, dass eindeutige Zuständigkeiten, Verantwortungsbereiche und Berichtswege für Compliance-Maßnahmen vorhanden sind.

In der kleinen und mittelständischen GmbH mit einem (Allein-)Geschäftsführer nimmt dieser in der Regel persönlich die Compliance-Verantwortung wahr. In größeren Unternehmen übertragen sie Compliance-Aufgaben an eines von mehreren Geschäftsleitungsmitgliedern (horizontale Delegation). In großen Unternehmen und Konzernen delegieren sie Compliance-Aufgaben oft an Compliance Officer oder andere Unternehmenseinheiten wie die Rechtsabteilung, Risikomanagement oder Interne Revision (vertikale Delegation).

Die allgemeinen rechtlichen Anforderungen an eine wirksame Delegation sind stets zu beachten: Eine Delegation von Aufgaben führt nicht zu einer vollständigen Pflichtbefreiung der übertragenden Personen. Stattdessen wandelt sich ihre Pflicht in eine Kontroll- und Überwachungspflicht. Bei einer horizontalen Delegation an einzelne Geschäftsführungsmitglieder beobachten die übrigen Geschäftsführungsmitglieder die Aufgabenwahrnehmung ihrer Kollegen und müssen im Fall von Compliance-Verstößen intervenieren. Bei der vertikalen Delegation von Compliance-Aufgaben, wie an Compliance Officer, bleiben bei den Auftraggebern bestimmte Auswahl-, Instruktions- und Überwachungspflichten bestehen. Das bedeutet, dass die jeweiligen Auftragnehmer sorgfältig ausgewählt, eingearbeitet und kontrolliert werden müssen.

Angesichts der vielfältigen Rechtspflichten und daraus resultierenden Compliance-Risiken haben viele Unternehmen eine eigene Stelle für Compliance Management oder einen Compliance Officer etabliert, der die vielfältigen Anforderungen in einem eigenständigen Aufgabenbereich koordiniert.

Wenn Unternehmen Compliance Officer beschäftigen, nehmen diese bei der Einführung und der dauerhaften Implementierung des Compliance Managements eine Schlüsselrolle ein.

Das Aufgabenspektrum der Compliance Officer ist vielfältig. Es gibt jedoch einige typische Aufgaben, die unabhängig von den Besonderheiten des jeweiligen Unternehmens oder speziellen Branchenvorgaben gelten und sich an den Zielen und Funktionen von Compliance Management orientieren. Dazu gehört die umfassende Beratung der Geschäftsleitung bezüglich aller für das Unternehmen relevanten Normen (Gesetze, Richtlinien und Verhaltensstandards) sowie bezüglich der Prävention, Evaluierung und Bewältigung von Compliance-Risiken.

Eine weitere zentrale Aufgabe ist die Steuerung von relevanten Informationsflüssen (Informations- und Wissensmanagement). Der Compliance Officer agiert als „Informationsschnittstelle“. Der Compliance Officer erhält alle relevanten Informationen oder entsprechende Informationszugriffsrechte in Bezug auf Compliance-Themen. Ein effektives Informations- und Wissensmanagement bildet die Grundlage für die erfolgreiche Kommunikation von Compliance-Themen und zugehörige Schulungsmaßnahmen. Zu den Aufgaben des Compliance Officers zählen auch Überwachungs- und Kontrollpflichten bezüglich Compliance-relevanter Vorgaben sowie Berichts- und Dokumentationspflichten zu allen Compliance-Themen.

Der Erfolg von Compliance-Maßnahmen und Compliance-Management-Systemen hängt stark von der Compliance-Kultur ab. Das Institut der Wirtschaftsprüfer hat den IDW PS 980 veröffentlicht, in dem die Compliance-Kultur als erstes Grundelement zur Bewertung der Angemessenheit und Wirksamkeit eines CMS aufgeführt wird.

Die Compliance-Kultur klärt, in welchem Maße Rechtstreue und Regelbefolgung von allen Organisationsangehörigen als Wert akzeptiert, geachtet und getragen werden. Sie reflektiert die Bereitschaft zu regelkonformem und integrem Verhalten und zeigt auf, wie tolerant oder indifferent Regelverstöße betrachtet werden. Die Beachtung und Einhaltung von Regelungen stehen in direktem Zusammenhang mit der Unternehmenskultur. Diese repräsentiert die Gesamtheit gemeinsamer Werte, Normen, Traditionen und Einstellungen und beeinflusst die Entscheidungen und das Verhalten der Organisationsmitglieder. Die Unternehmenskultur stellt ein zentrales Element des „normativen Managements“ dar und ist integraler Bestandteil der Unternehmensstrategie. Im Kontext der Compliance-Kultur ist es essenziell, die passenden Rahmenbedingungen und Anreize für ein regelkonformes Verhalten der Unternehmensangehörigen zu etablieren.

Es ist allgemein anerkannt, dass die Compliance-Kultur stark durch die Grundeinstellungen und Verhaltensweisen der Mitglieder der Leitungsorgane (Geschäftsleitung und gegebenenfalls Aufsichtsorgan) beeinflusst wird. Für den Erfolg des Compliance Managements ist es daher entscheidend, dass die Unternehmensleitung selbst von Sinn und Notwendigkeit der Compliance-Maßnahmen überzeugt ist.

Diese Überzeugung zeigt sich in jeder Kommunikation und im Verhalten jedes Mitglieds der Unternehmensleitung („tone at the top“). Für die Entwicklung einer Compliance-Kultur ist es wichtig, dass die Mitglieder der Geschäftsleitung ihre Überzeugung von Sinn und Notwendigkeit des Compliance Managements im Unternehmen umsetzen. „Gelebte Compliance“ bedeutet vor allem „vorgelebte Compliance“. Die Bedeutung von Compliance wird konsequent an alle Unternehmensangehörigen (Führungskräfte und Mitarbeiter) vermittelt und auch an sonstige Bezugsgruppen (Mitarbeiter, Kunden, Lieferanten, Investoren) klar und unmissverständlich kommuniziert („Tone from the Top“). Das authentische „Commitment“ zu Compliance und Integrität, also ein klar formuliertes und kommuniziertes Bekenntnis der Unternehmensleitung, ist ein zentrales Element zur Förderung einer Compliance-Kultur. Für die Glaubwürdigkeit ist es wichtig, dass Regeltreue und Integrität, auch in Zweifelsfällen, immer Priorität haben und nicht aus Opportunitätsgründen anderen Interessen untergeordnet werden. Die Unternehmensleitung verpflichtet sich, Regelverletzungen nicht zu ignorieren, sondern festgestellte Verstöße konsequent und angemessen zu sanktionieren. Regelkonformes und integres Verhalten der Unternehmensangehörigen, das sich in Konfliktsituationen zeigt, wird besonders gewürdigt. Die Geschäftsleitung entwickelt dafür ein passendes Anreizsystem. Es wird klar, dass im Interesse eines regelkonformen und integren Verhaltens notfalls auch wirtschaftliche Einbußen hingenommen werden.

Eine Möglichkeit, das besondere Compliance-Commitment zu zeigen, ist die Formulierung des Unternehmensleitbilds („Mission Statement“). Hierbei wird betont, dass der unternehmerische Erfolg immer auf der Achtung rechtlicher Vorgaben und integrem Geschäftsverhalten basiert. Das Leitbild fixiert schriftlich die Unternehmensmission, die Unternehmensziele, Unternehmenswerte, Unternehmenskultur und Unternehmensverfassung. Es ist sinnvoll, ausgewählte Vertreter (Führungskräfte, Delegierte von Abteilungen etc.) bei der Entwicklung und Formulierung des Leitbildes einzubeziehen, um Verständnis und Akzeptanz bei den Unternehmensangehörigen zu gewährleisten.

Die Wirksamkeit von Compliance-Maßnahmen hängt von der Bereitschaft der Betroffenen ab, die Regeln und Maßnahmen zu befolgen. Eine Studie zeigt, dass die Einstellungen und Werte der Mitarbeiter als kritischer Erfolgsfaktor für Compliance betrachtet werden.

Diese Erkenntnis deckt sich mit empirischen Untersuchungen zur Wirksamkeit von Compliance-Maßnahmen in Unternehmen: Diese Untersuchungen zeigen, dass ein integrierter Ansatz von Compliance- und Integritätsmanagement erfolgreicher ist als ein rein regel- und kontrollbasierter Compliance-Ansatz, der sich ausschließlich auf die Umsetzung juristischer Vorgaben konzentriert.

In anderen Rechtsordnungen gehört die Kombination von Compliance und Ethikprogrammen schon seit längerem explizit zu den Kriterien, mit denen Organisationen den Vorwurf mangelnder Compliance entkräften können.

Regelverletzungen beruhen einerseits auf vorsätzlichem Fehlverhalten oder kriminellen Aktivitäten von Personen, wie bei Korruptionsvergehen oder Kartellrechtsverstößen. In anderen Fällen entstehen sie aus Fahrlässigkeit durch die Verletzung von Sorgfaltspflichten oder einfach unzureichender Kenntnis von Regeln und Geboten. Die notwendigen Compliance-Maßnahmen beinhalten sowohl die Aufdeckung und Sanktionierung von regelwidrigem Verhalten als auch Aufklärungs- und Schulungsmaßnahmen, insbesondere die Erklärung und Übersetzung juristischer Regeln und Zusammenhänge. Die Beachtung und Einhaltung von Regeln hängt eng mit den Werten zusammen, denen sich die Organisationsangehörigen verpflichtet sehen. Um abweichendes Verhalten zu verhindern oder zu reduzieren und die Regeltreue zu fördern, ist es sinnvoll, die Compliance-Maßnahmen mit einem begleitenden Integritätsmanagement zu stärken.

Eine Fundierung der Compliance-Maßnahmen durch ein begleitendes Integritätsmanagement ist notwendig, da eine lückenlose Regelung jeglichen (Fehl-)Verhaltens faktisch unmöglich ist, ebenso wie deren Kontrolle. Wenn Regelungen, wie ein Code of Conduct, verabschiedet werden, sind die Aussagen oft nicht immer eindeutig, selbsterklärend oder sie erfassen nicht alle Fallkonstellationen. Selbst mit regelmäßigen Erläuterungen der Inhalte in Compliance-Schulungen können Zweifelsfragen auftreten, und die Erfüllung aller Rechtspflichten im operativen Geschäft bleibt eine ständige Herausforderung. In solchen Fällen benötigen Unternehmensangehörige eine Orientierung, wie sie sich bei unklaren Sachlagen oder in sogenannten „Graubereichen“ verhalten sollen. Diese Orientierung bietet ein begleitendes Integritäts- und Wertemanagement, das die Unternehmensangehörigen über Sinn und Zweck der Compliance-Maßnahmen und insbesondere deren Schutzfunktion für das Unternehmen und alle seine Stakeholder informiert. Die Formulierung von Werten gibt den Unternehmensangehörigen eine wichtige Hilfestellung für Fragen und Fallkonstellationen, die (noch) nicht oder nicht eindeutig durch Regeln erfasst oder geklärt sind. Dies ermöglicht den Unternehmensangehörigen, in solchen Zweifelsfällen entweder eine selbstständige Einschätzung vorzunehmen oder es dient als eine Art Kompass, der in Zweifelsfällen zur Klärung der Frage durch den Compliance Officer führt.

Die Fundierung der Compliance-Maßnahmen durch ein Integritätsmanagement erhöht die Akzeptanz von Compliance-Maßnahmen. Im Hinblick auf den notwendigen „tone from the top“ lautet die Botschaft an die Unternehmensangehörigen: „Wir vertrauen Ihrem Urteilsvermögen und Ihrer Fähigkeit, sich an diese Regeln zu halten.“ Gleichzeitig wird betont: „Werte wie Rechtstreue und Aufrichtigkeit bestimmen das unternehmerische und soziale Miteinander im Unternehmen. Darauf kann man sich als Mitarbeitender verlassen.“

Es ist sinnvoll, das Compliance Management durch ein Integritäts- und Wertemanagement zu ergänzen oder darauf aufzubauen. Viele Unternehmen verabschieden im Rahmen ihrer Anti-Korruptions-Compliance sogenannte „Geschenke-Richtlinien“ zur Regelung der Gewährung und Annahme von Vergünstigungen. Die Prävention von Korruptionsrisiken gelingt wahrscheinlich besser, wenn gleichzeitig Unbestechlichkeit und faires Wettbewerbsverhalten als Werte durch Unternehmensleitung und Führungskräfte kommuniziert werden. Mit dieser Verankerung steigt die Wahrscheinlichkeit, dass Vergünstigungen jeder Art kritisch geprüft werden, auch wenn die jeweilige Zuwendung im Einzelfall nicht direkt durch die „Geschenke-Richtlinie“ geregelt ist.